В наше время атаками на компьютеры и компьютерные сети сложно кого-либо удивить. Для атак активно используется Internet, электронная почта и другие каналы связи. Подобные действия подвергают организации правовым и финансовым рискам и часто требуют проведения внутренних расследований.
В данной статье мы обсудим процессы и инструментальные средства, которые можно использовать при проведении компьютерных расследований. Речь пойдет о применении средств Windows Sysinternals (http://go.microsoft.com/?linkId=6013253) — утилит, используемых для исследования компьютеров на базе ОС Windows, а также внутренних команд и инструментов Windows. При этом часть политик и процедур, задействованных в ходе расследования, могут также применяться для восстановления хода событий.
Компьютерная модель расследования
Согласно определению Уоррена Круса и Джея Хейсера, авторов «Computer Forensics: Incident Response Essentials», компьютерные расследования — это сохранение, идентификация, извлечение, документация и интерпретация компьютерных носителей для анализа первопричины. Компьютерная модель расследования показывает логическую модель проведения расследования.
В ходе расследования специалисты выполняют следующие действия:
-
Оценивают ситуацию — проводят анализ области расследования и предпринимаемых действий.
-
Накапливают данные — собирают, защищают и сохраняют доказательства.
-
Анализируют данные — исследуют и сопоставляют цифровые доказательства с теми событиями, которые представляют реальный интерес, что в дальнейшем позволит понять ход атаки.
-
Подготавливают отчет о проведенном расследовании — собирают и упорядочивают информацию и составляют окончательный отчет.
Детально стадии проведения расследования рассмотрим ниже.
Инициирование процесса расследования
Прежде чем начинать свое расследование, необходимо инициировать процесс расследования.
Для начала следует решить, будете ли вы привлекать юристов для проведения административного (уголовного) преследования злоумышленника. Если да, то следует привлечь правоохранительные органы. Но стоит иметь в виду, что это можно сделать и на более поздних стадиях проведения расследования.
Однако нужно понимать, что в первую очередь необходимо предотвратить дальнейшее нанесение ущерба злоумышленниками. Ведь важнее всего защитить организацию от возможного ущерба, если, конечно, не затронуты интересы государственной безопасности.
Оценка ситуации
Рассмотрим, как провести полную оценку ситуации, установить область инцидента и определить требуемые ресурсы для проведения внутреннего расследования.
Уведомление руководства
Для проведения внутреннего расследования компьютерного инцидента следует получить соответствующее разрешение руководства компании, если политика безопасности не предусматривает инцидентное разрешение. В таком случае требуется провести полную оценку ситуации и определить дальнейшие шаги. Для этого необходимо сделать следующее.
-
Если в организации не существует определенной политики реагирования на инциденты, то необходимо письменно уведомить руководство и получить письменное же разрешение от уполномоченного лица о проведении компьютерного расследования.
-
В ходе расследования необходимо документировать все связанные с ним действия. У вас должно быть точное и законченное описание событий и решений, имевших место в ходе инцидента и ответа на инцидент. В дальнейшем эта документация может использоваться в суде для описания действий, проводимых в ходе расследования.
-
В зависимости от контекста инцидента и при отсутствии угрозы государственной безопасности главной задачей является защита организации от нанесения дальнейшего ущерба. После того как безопасность организации будет обеспечена, необходимо восстановить работу и расследовать инцидент.
Вместе с тем, следует учитывать, что ваши решения и доказательства могут быть оспорены в суде, поскольку компьютерное доказательство — процесс весьма сложный и различные исследования могут дать разные результаты и заключения.
Обзор политик и процедур
Приступая к компьютерному расследованию, крайне важно понимать политики и процедуры, принятые в компании, к которым вы можете обратиться в ходе расследования. Обратите внимание на следующие важные соображения.
-
Имеете ли вы законные полномочия для проведения расследования?
-
Существуют ли принятые в организации политики и процедуры, в которых описаны правила обращения с конфиденциальной информацией?
-
Описаны ли в этих политиках и процедурах правила проведения внутреннего расследования в случае инцидента? Ведь не секрет, что во многих компаниях соответствующие политики и процедуры отсутствуют или не рассмотрены и не согласованы с юристами. А кроме того, не все сотрудники и посетители уведомлены об их существовании. Если вы не уверены в своих полномочиях, проконсультируйтесь с руководством и юристами.
Проконсультируйтесь с юристами во избежание потенциальных проблем, связанных с неправильной обработкой результатов проведенного расследования. В число факторов, провоцирующих такие проблемы, могут входить:
-
персональные данные скомпрометированных клиентов;
-
нарушение любых государственных законов;
-
несение уголовной или административной ответственности за перехват электронных сообщений;
-
просмотр закрытой информации. Данные, которые могут поставить под угрозу конфиденциальность информации клиента, должны быть доступны как часть связанной с расследованием документации, если это непосредственно использовалось в проведении расследования.
В дальнейшем необходимо гарантировать конфиденциальность клиентских данных:
-
все данные должны надежно храниться, при этом контроль доступа к ним должен быть ужесточен;
-
по окончании расследования все данные, включая документацию, в течение периода времени, согласованного с юристами или в соответствии с законодательством, должны находиться под пристальным вниманием. Если данные — потенциальная часть уголовного дела, то необходимо проконсультироваться с правоохранительными органами.
В случае судебного иска требуется поддерживать и тщательно хранить все цифровые копии доказательств. Если вы не обеспечите безопасное хранение доказательств, вы не обеспечите доверие собранным в ходе расследования доказательствам. Сохранность доказательств достигается при наличии документации, поддающейся проверке.
Создание группы проведения расследований
Для успешного проведения внутреннего компьютерного расследования следует сформировать группу реагирования на инциденты. Лучше всего создать группу заранее, до того, как реально потребуется проводить расследование. Важно, чтобы члены группы имели навыки проведения подобных расследований. При этом необходимо учесть следующее.
-
Определите компетентных сотрудников, которые понимают, как нужно проводить расследование. Идеальным будет обучение на соответствующих курсах. Помните, что в случае проведения слушаний в суде навыки и умения сотрудника, проводившего расследование, будут тщательно проверяться.
-
Назначьте членов группы расследования и определите их обязанности.
-
Назначьте одного из членов группы как технического руководителя. Как правило, технический руководитель должен иметь опыт участия в проведении расследований и достаточные технические знания. Не забывайте, что члены группы проведения расследования должны иметь более высокую квалификацию, чем подозреваемые.
-
Для обеспечения защиты информации и личной безопасности членов группы расследования состав группы должен держаться в секрете.
-
В случае отсутствия в организации должным образом подготовленного персонала к расследованию может привлекаться доверенная внешняя группа, обладающая необходимыми знаниями.
-
В случае проведения расследования необходимы гарантии, что каждый член группы обладает полномочиями для решения поставленной задачи. Данный пункт особенно важен в случае привлечения специалистов со стороны для проведения расследований.
Полная оценка ситуации
Для определения приоритета соответствующих действий и распределения ресурсов группы расследования необходима тщательная оценка ситуации. Данная оценка определяет текущее и потенциальное воздействие инцидента на работу организации, позволяет идентифицировать затронутую инфраструктуру и как можно полнее оценить ситуацию. Вместе с тем эта информация позволит быстрее определить соответствующее направление работы.
Для получения полной оценки ситуации необходимы следующие действия.
-
Исследуйте все ее потенциальные опасности, потенциально затрагиваемые стороны и, если возможно, информацию о подозреваемой стороне.
-
Изучите возможное воздействие на организацию. Оцените, затрагивает ли инцидент данные клиентов, финансовые данные или конфиденциальные данные компании. Не забудьте оценить потенциальное влияние инцидента на связи с общественностью. Стоит учесть, что данная оценка, вполне вероятно, будет находиться за пределами полномочий служб информационных технологий и информационной безопасности и, возможно, должна быть сделана при поддержке руководства и юристов компании.
-
В течение расследования проанализируйте воздействие инцидента на работу организации. Перечислите ресурсы, необходимые для полной ликвидации последствий инцидента, время простоя, стоимость поврежденного оборудования, оцените возможную потерю доходов и стоимость разглашенной конфиденциальной информации. Учтите, что такая оценка должна быть реалистичной. Фактические затраты на преодоление последствий инцидента будут определены позднее.
-
Проанализируйте возможные нематериальные потери — влияние на репутацию организации т. д. Не стоит преувеличивать серьезность инцидента. Этот анализ необходим только для того, чтобы понять область инцидента. Фактические потери от инцидента будут определены позднее. Вероятнее всего, данная оценка потерь будет находиться вне компетенции служб информационных технологий и информационной безопасности и будет выполняться руководством вместе с юристами и сотрудниками других подразделений.
Для проведения идентификации, анализа и документирования сетевой инфраструктуры и компьютеров, затронутых инцидентом, необходимо сделать следующее.
-
Идентифицировать сеть, вовлеченную в инцидент, количество, типы и роли затронутых инцидентом компьютеров.
-
Изучить топологию сети, включая детальную информацию о серверах, сетевых аппаратных средствах, системах сетевой защиты, подключениях к Internet.
-
Идентифицировать внешние запоминающие устройства.
-
Определить удаленные компьютеры, подключаемые к компьютерной сети.
-
В случае необходимости (если требуется оперативный анализ) фиксировать сетевой трафик. Данный тип анализа необходим в том случае, если в сети по-прежнему наблюдается подозрительный трафик. Microsoft Windows XP и Windows Server 2003 включают встроенные сетевые инструментальные средства сбора данных для фиксирования локального сетевого трафика — Netcap и Rasdiag. Вместе с тем вы можете использовать Windows Network Monitor (NetMon) и Windows Sysinternals TDIMon (http://www.microsoft.com/technet/sysinternals/default.mspx ) для сетевого анализа данных.
-
Для исследования состояния приложений и операционных систем на компьютерах, которые затрагивает расследование, используйте инструментальные средства. В этом случае будут полезны файлы журналов Windows, Windows Sysinternals PsTools.
-
Для исследования и документирования затронутых файлов и серверов приложений используйте инструментальные средства Windows Sysinternals: PsTools, PsFile, ShareEnum и файлы журналов Windows.
Для получения завершенного понимания ситуации сделайте следующее.
-
Составьте временной график. Это особенно важно для глобальных инцидентов. Данный документ должен содержать возможные несоответствия между датой и временем рабочих станций и службой времени Windows Server 2003.
-
Определите круг вовлеченных в инцидент лиц и побеседуйте с ними. Это чрезвычайно важно для понимания ситуации.
-
Документируйте все результаты интервью. Они потребуются позже для полного понимания ситуации.
-
Восстановите и сохраните информацию (файлы журналов) внешних и внутренних устройств сети, таких как системы сетевой защиты и маршрутизаторы, которые могли находиться на пути атаки.
-
Общедоступную информацию, типа IP-адреса и имени домена, для возможной идентификации атакующего можно получить с помощью Windows Sysinternals Whois http://go.microsoft.com/?linkId=6013254
Собранная информация может пригодиться для подготовки плана восстановления после инцидента.
На стадии сбора доказательств требуется гарантировать, что результат стадии оценки ситуации использован правильно. Такой документ должен содержать следующую информацию.
-
Начальная оценка воздействия инцидента на бизнес организации.
-
Детальная топология сети с подробными указаниями о том, какие компьютерные системы и каким образом были скомпрометированы.
-
Резюме с пользователями и администраторами скомпрометированных систем.
-
Результаты любых юридических взаимодействий.
-
Сообщения и файлы журналов, сгенерированные инструментальными средствами, используемыми на стадии оценки.
-
Предложенное направление и план действий.
Сбор данных
В данном разделе мы обсудим, как собрать данные, необходимые для проведения расследования. Стоит учесть, что некоторые данные, получаемые в ходе расследования, энергозависимы и могут быть легко повреждены. Поэтому следует гарантировать, что соответствующие данные собраны правильно и должным образом сохранены для проведения анализа.
Формируйте компьютерный инструментарий для проведения расследования
Для грамотного и своевременного проведения расследования организации потребуется коллекция аппаратных и программных средств для сбора данных в ходе расследования. Такой инструментарий должен содержать ноутбук с набором соответствующих программных средств, операционных систем с необходимыми обновлениями, мобильными носителями, сетевым оборудованием и набором соответствующих кабелей. Идеально создать такой набор инструментов заранее. Причем члены группы должны быть ознакомлены с инструментальными средствами до проведения расследования.
Сбор доказательств
Сбор цифровых доказательств выполняется локально или по сети. Однако локальный сбор данных не всегда возможен. В случае сбора данных по сети следует учитывать тип собираемых данных и те усилия, которые для этого потребуются.
Рекомендуемый процесс сбора данных:
1. Создать точную документацию, которая позволит подтвердить подлинность собранных доказательств. Важно обращать внимание на любые потенциально интересные элементы и регистрировать любые действия, которые могут быть позже признаны важными в процессе расследования. Ключом к успешному расследованию является надлежащая документация, в том числе такая информация:
-
Кто выполнил действие и почему?
-
Чего таким образом пытались добиться?
-
Как именно выполнено действие?
-
Какие использовались инструменты и процедуры?
-
Когда (дата и время) выполнено действие?
-
Какие результаты достигнуты?
2. Определить необходимые методы проведения расследования. Как правило, используется комбинация автономных и интерактивных методов.
-
При проведении автономных расследований дополнительный анализ выполняется на поразрядной копии оригинального доказательства. Автономный метод расследования применяется всегда, когда это возможно, так как это уменьшает риск повреждения оригинального доказательства. Однако стоит учесть, что данный метод может использоваться только в тех случаях, когда может быть создана соответствующая копия, и не может применяться для сбора некоторых энергозависимых данных.
-
При проведении интерактивного расследования анализ выполняется на оригинальном оперативном доказательстве. Сотрудники, участвующие в проведении расследования, должны быть особенно осторожны ввиду риска модификации доказательств.
3. Идентифицировать и задокументировать потенциальные источники данных, включая:
-
серверы; информация включает роль сервера, файлы логов, файлы данных, приложения;
-
файлы журналов внутренних и внешних сетевых устройств;
-
внутренние аппаратные компоненты (например, сетевые адаптеры);
-
внешние порты — Firewire, USB и PCMCIA;
-
запоминающие устройства, включая жесткие диски, сетевые запоминающие устройства, сменные носители;
-
переносные мобильные устройства — Pocket PC, Smartphone и MP3-плееры.
4. При фиксировании энергозависимых данных следует тщательно рассматривать порядок сбора данных. Учтите, что энергозависимое доказательство может быть легко разрушено при выключении питания.
5. Используйте следующие методы сбора данных.
-
Если необходимо извлечь какие-либо устройства внутренней памяти, требуется проверить, все ли энергозависимые данные зафиксированы, а затем выключить компьютер.
-
Решите, удалить запоминающее устройство или использовать собственную систему для фиксирования данных. Учтите, что возможна ситуация, когда вы не сможете удалить запоминающее устройство из-за аппаратной несовместимости.
-
Создайте поразрядную копию доказательства на резервном носителе, защитив оригинальное доказательство от записи. Весь последующий анализ данных должен выполняться на этой копии, а не на оригинальном доказательстве.
-
Документируя запоминающие устройства, гарантируйте включение информации об их конфигурации. Обратите внимание на изготовителя и модель оборудования, параметры настройки перемычки, объем устройства, тип интерфейса и состояние диска.
6. Проверьте собранные данные. Если есть возможность, создайте контрольные суммы и цифровые подписи, чтобы гарантировать, что скопированные данные идентичны оригиналу. Учтите, что в некоторых случаях (например, при наличии сбойных секторов на носителе данных) вы не сможете создать абсолютную копию. Однако следует гарантировать, что вы получили наилучшую копию, которую можно было создать с помощью имеющихся инструментальных средств. Для вычисления криптографических хешей по алгоритмам MD5 или SHA1 можно использовать Microsoft File Checksum Integrity Verifier (http://www.microsoft.com/downloads/details.aspx?FamilyID=b3c93558-31b7-47e2-a663-7365c1686c08&DisplayLang=en ) (FCIV).
Хранение и архив
После того как доказательства собраны и готовы к анализу, чрезвычайно важно архивировать и хранить их таким образом, чтобы гарантировать целостность.
Перечислим наиболее надежные способы хранения и архивации данных.
-
Хранение данных в физически безопасном месте.
-
Документирование физического и сетевого доступа к информации.
-
Гарантия того, что неуполномоченные лица по сети или иным способом не могут получить доступ к доказательствам.
-
Защита комнат и оборудования, в которых хранятся носители, содержащие доказательства, от воздействия электромагнитных полей и статического электричества.
-
Изготовление не менее двух копий доказательств, собранных в ходе расследования. При этом одна из копий должна храниться в безопасном месте вне основного здания.
-
Гарантия того, что доказательство защищено как физически (например, помещено в сейф), так и в цифровой форме (например, назначен пароль на носители данных).
-
Документирование всего процесса хранения информации доказательства.
-
Создание журнала контроля, который включает следующую информацию:
– имя человека, исследующего доказательство;
– дату и время начала работы с доказательством;
– дату и время его возврата в хранилище.